很多HIPS安全軟件使用了復(fù)雜的規(guī)則，讓沒有經(jīng)驗(yàn)的用戶難以熟練掌控，而且其頻繁的彈出警告窗口，會(huì)讓人感到有些繁瑣。

巧設(shè)暗哨 化解危機(jī)于無形之中

使用DefenseWall這款人性化的安全軟件，就可以避免上述弊端，無需升級(jí)其特征庫，不需要高超的使用技巧，無需頻繁的面對攔截窗口，就可以最大限度地抗擊病毒、木馬等惡意程序的攻擊。簡單易用堪稱DefenseWall最大特點(diǎn)，安裝之后無需任何配置就可以保護(hù)系統(tǒng)安全了。

圖1 Defense Wall主界面

例如，當(dāng)某款木馬試圖侵入系統(tǒng)時(shí)，對系統(tǒng)進(jìn)行的所有破壞均被DefenseWall化解，用戶幾乎無需參與，該木馬就已經(jīng)束手就擒了。在系統(tǒng)托盤中雙擊DefenseWall圖標(biāo)，在其主界面（如圖1所示）中點(diǎn)擊“Event Log”按鈕，可以查看監(jiān)控信息，對其進(jìn)行簡單的分析，可以看到，該木馬試圖在各磁盤根目錄下創(chuàng)建名為“Autorun.inf”和“wmidx.exe”的文件，其中的“wmidx.exe”就是木馬文件，“Autorun.inf”則指向該文件，如果用戶雙擊了磁盤就會(huì)激活木馬，同時(shí)該木馬會(huì)對注冊表進(jìn)行惡意修改，包括添加啟動(dòng)項(xiàng)允許木馬自動(dòng)運(yùn)行、禁用任務(wù)管理器、破壞安全模式讓用戶無法對其清除、禁用系統(tǒng)自動(dòng)更新、鎖定IE主頁、禁止顯示隱藏文件等。

為了逃避殺毒軟件追捕，該木馬還在注冊表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”分支下針對常用的殺毒軟件，創(chuàng)建了映像劫持項(xiàng)目，讓這些殺毒軟件無法順利運(yùn)行，同時(shí)在系統(tǒng)路徑釋放了一些可疑文件等。不過這些伎倆沒有逃過DefenseWall的眼睛，不僅逐一破解了木馬的所有破壞行為，而且將其行蹤徹底暴露在用戶面前。用戶只需點(diǎn)擊“Stop attack”按鈕，之后點(diǎn)擊“File and registry tracks”按鈕，在彈出窗口中選擇病毒創(chuàng)建的文件或者注冊表項(xiàng)目，點(diǎn)擊“Rollback to”按鈕將其逐一刪除，就可以讓其徹底消失。

一般基于沙盤技術(shù)的安全軟件，都會(huì)創(chuàng)建一個(gè)虛擬環(huán)境，讓指定的程序在其中活動(dòng)，使其無法接觸到真實(shí)的系統(tǒng)，從而避免危險(xiǎn)的發(fā)生。DefenseWall的運(yùn) 模式與之不同，在其眼中程序分為信任和非信任兩大類，非信任程序運(yùn)行在一個(gè)虛擬的空間，但是程序之間并沒有隔離，只是和系統(tǒng)中的信任空間隔離開，其權(quán)限會(huì)受到一定的控制。DefenseWall不會(huì)監(jiān)控信任程序，而只對非信任程序進(jìn)行監(jiān)控。DefenseWall并沒有大量使用虛擬技術(shù)，放行的文件操作都是在真實(shí)的文件系統(tǒng)中進(jìn)行。在默認(rèn)狀態(tài)下，DefenseWall運(yùn)行在常規(guī)模式下。在其菜單上點(diǎn)擊“Expert Mode”項(xiàng)可以進(jìn)入專家模式。在DefenseWall主界面中點(diǎn)擊“Untrusted Applications”按鈕，在非信任列表（如圖2所示）中可以看到其預(yù)設(shè)了一些常用的程序，例如IE、tftp.exe等，對于非信任程序來說，其調(diào)用的程序或者常見的文件都被DefenseWall視為非信任對象，利用其中的按鈕，可以執(zhí)行添加（包括進(jìn)程、文件等）、刪除、標(biāo)記為信任、激活/禁用、移動(dòng)、排除等操作。

圖2 管理非信任程序

對于可疑程序來說，可以在其右鍵菜單上點(diǎn)擊“DefenseWall HIPS”→“Change status to untrusted”項(xiàng)，將其添加到非信任列表中，也可以點(diǎn)擊其中的“Run as untrusted”項(xiàng)，讓其以非信任身份運(yùn)行，全程受到DefenseWall的監(jiān)控。如果發(fā)現(xiàn)其有不軌行為，DefenseWall會(huì)自動(dòng)對其進(jìn)行攔截。當(dāng)然，在安裝某些合法的軟件時(shí)，如果因?yàn)镈efenseWall的保護(hù)作用而出錯(cuò)的話，可以點(diǎn)擊上述菜單中的“Run as trusted”項(xiàng)，讓其自由運(yùn)行。對于文件夾和磁盤來說，也可以在其右鍵菜單點(diǎn)擊上述“Run as untrusted”項(xiàng)，來安全將其打開，防止遭到“Autorun.inf”之類文件的攻擊。對于非信任的程序來說，DefenseWall可以防止其修改可執(zhí)行文件、進(jìn)程間通訊、修改系統(tǒng)重要文件、增加或者修改啟動(dòng)項(xiàng)、驅(qū)動(dòng)文件和系統(tǒng)服務(wù)、修改桌面和瀏覽器設(shè)定、插件和擴(kuò)展、全局鉤子、注入信任進(jìn)程、截屏等具有威脅性的操作。為了發(fā)揮非信任區(qū)的威力，應(yīng)該將所有可能被病毒利用的途徑全部添加進(jìn)來。

當(dāng)然，為了避免DefenseWall對常見的操作造成影響，可以根據(jù)需要在其菜單中點(diǎn)擊“Disable Protection”項(xiàng)，暫時(shí)禁用其保護(hù)功能，之后及時(shí)將其激活即可。對于高級(jí)用戶來說，需要開啟DefenseWall的警報(bào)功能，在其主界面中點(diǎn)擊“Advanced” 和“Options”按鈕，在彈出窗口中勾選“Alarm notification via tray icon”項(xiàng)即可。點(diǎn)擊“File and Registry Protection Excludes”項(xiàng)，可以將選定的文件或者注冊表項(xiàng)目排除在保護(hù)范圍外；點(diǎn)擊“Secured Files”按鈕，可以將文件放在安全區(qū)中，非信任程序?qū)o法訪問這些文件；點(diǎn)擊“Download Areas”按鈕，可以設(shè)置保存下載文件的目錄，讓各種下載工具順利保存文件。對于下載區(qū)中的文件來說，非信任程序可以對其進(jìn)行訪問或者修改操作；點(diǎn)擊“Password Protection”按鈕，可以為DefenseWall設(shè)置保護(hù)密碼；點(diǎn)擊“Resource Protection”按鈕，可以針對不同的非信任程序，額外地添加需要保護(hù)的文件、文件夾或者注冊表路徑，例如將密碼文件、注冊信息等敏感數(shù)據(jù)保護(hù)起來，讓非信任程序無法對其進(jìn)行訪問。當(dāng)然，如果DefenseWall攔截到高級(jí)鍵盤記錄動(dòng)作，會(huì)自動(dòng)彈出攔截窗口，讓用戶進(jìn)行決斷。除了抗擊一般的病毒外，DefenseWall還可以對付狡猾的NTFS數(shù)據(jù)流病毒、RootKit病毒等。

保護(hù)系統(tǒng)安全的“小尖兵”

現(xiàn)在的安全軟件雖然功能強(qiáng)大，可是操作起來并不簡單，不斷彈出的各種警告攔截窗口不免讓用戶產(chǎn)生抱怨。其實(shí)，使用小狐貍防護(hù)系統(tǒng)這款小巧的綠色軟件，就可以有效保護(hù)系統(tǒng)安全，而且其運(yùn)作模式更加智能和安靜。將該軟件解壓后，運(yùn)行其中的“Yasbox.exe”程序，就可以讓其為您服務(wù)了。在其主界面中顯示進(jìn)程列表信息，進(jìn)程其實(shí)是具有不同的運(yùn)行權(quán)限的，針對不同的進(jìn)程設(shè)置不同的權(quán)限，對于系統(tǒng)安全關(guān)系重大。

在列表中選擇目標(biāo)進(jìn)程，在其右鍵菜單中點(diǎn)擊“查看進(jìn)程權(quán)限”項(xiàng)，在彈出的窗口（如圖3所示）中可以按照窗口、進(jìn)程/線程、內(nèi)存、注冊表、文件系統(tǒng)、其他等類別，進(jìn)行不同權(quán)限的設(shè)定操作。

圖3 管理進(jìn)程權(quán)限

注意：其中的某些權(quán)限不要選用，以免對系統(tǒng)構(gòu)成威脅，例如在“窗口”欄中不要選擇“鍵盤鉤子”項(xiàng)，防止其盜取輸入的敏感信息（賬戶密碼等）；在“進(jìn)程/線程”欄中不要選擇“遠(yuǎn)程線程”項(xiàng)，避免其非法注入其他合法進(jìn)程；在“文件系統(tǒng)”欄中不要選擇“創(chuàng)建文件”和“IO控制碼”項(xiàng)，避免執(zhí)行其非法修改其他文件或者創(chuàng)建不法文件等操作。

不管病毒、木馬等惡意程序多么狡詐，要想對系統(tǒng)造成破壞，其必須獲得運(yùn)行權(quán)，只要對其活動(dòng)進(jìn)行監(jiān)控和攔截，病毒就會(huì)無計(jì)可施。在窗口左側(cè)點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，在彈出窗口中的“其他設(shè)置”欄中建議勾選所有的項(xiàng)目，例如運(yùn)行進(jìn)程時(shí)詢問、加載驅(qū)動(dòng)時(shí)詢問、運(yùn)行非數(shù)字簽名進(jìn)程時(shí)詢問、可以感染文件運(yùn)行時(shí)詢問等項(xiàng)目，來最大限度地降低病毒的危害。在“信任進(jìn)程”列表的右鍵菜單中點(diǎn)擊“添加”按鈕，可以將信任的程序添加進(jìn)來。在其下列表中按照同樣的方法，可以將不受信任的程序添加進(jìn)來。這樣，可以構(gòu)建信任和非信任文件列表。對于非信任列表中的文件來說，其活動(dòng)將會(huì)受到嚴(yán)密監(jiān)控。在“全集規(guī)則設(shè)置”欄中點(diǎn)擊“設(shè)置”鏈接，可以針對新建進(jìn)程配置管控規(guī)則，其操作界面和上面提到的進(jìn)程權(quán)限管理窗口完全一致，可以對新建進(jìn)程的所有動(dòng)作進(jìn)行管控。

為了保護(hù)文件安全，避免對其進(jìn)行非法操作，可以在窗口左側(cè)點(diǎn)擊“文件設(shè)置”按鈕，在彈出窗口中的“路徑/文件”欄中輸入文件路徑，例如輸入“C:*.doc”，表示保護(hù)C盤根目錄的所有DOC文件。如果勾選“繼承子目錄”項(xiàng)，則可以表示保護(hù)C盤中的所有DOC文件。在窗口底部選擇針對特定文件可以執(zhí)行的權(quán)限，包括允許寫入、刪除文件、移動(dòng)文件、創(chuàng)建文件等。如果不選擇對應(yīng)的項(xiàng)目，表示無法對文件執(zhí)行該操作。例如不能選擇“刪除文件”項(xiàng)，那么將無法刪除目標(biāo)文件等。點(diǎn)擊“添加”按鈕，完成該文件訪問規(guī)則的創(chuàng)建。同理，可以創(chuàng)建多個(gè)文件訪問規(guī)則，實(shí)現(xiàn)對文件的全面保護(hù)。注冊表可謂系統(tǒng)的關(guān)鍵部位，自然是該軟件重點(diǎn)保護(hù)對象，點(diǎn)擊窗口左側(cè)的“注冊表設(shè)置”按鈕，在彈出窗口中顯示受到保護(hù)的注冊表項(xiàng)目。點(diǎn)擊“開啟整個(gè)注冊表保護(hù)”鏈接，那么整個(gè)注冊表都將處在保護(hù)范圍內(nèi)。

在互聯(lián)網(wǎng)時(shí)代，上網(wǎng)沖浪是每個(gè)用戶幾乎每天的必修課，在網(wǎng)絡(luò)環(huán)境中，可謂充滿了危機(jī)，稍不注意，就可能遭到來自網(wǎng)絡(luò)的攻擊，因此，對網(wǎng)絡(luò)訪問進(jìn)行全面保護(hù)，就顯得極為重要了。在窗口左側(cè)點(diǎn)擊“網(wǎng)絡(luò)設(shè)置”按鈕，在彈出窗口（如圖4所示）中點(diǎn)擊“啟動(dòng)網(wǎng)絡(luò)保護(hù)”鏈接，激活網(wǎng)絡(luò)防護(hù)模塊。在“全部設(shè)置”欄中可以自由開啟或者禁止收發(fā)不同類型的網(wǎng)絡(luò)包，包括TCP、UDP、ICMP、IGMP、ARP 等 數(shù) 據(jù)包。對于內(nèi)網(wǎng)用戶，最好點(diǎn)擊“ARP防護(hù)”鏈接，將ARP攻擊拒之門外。勾選“禁止下列服務(wù)”項(xiàng)，就可以毫不費(fèi)力的關(guān)閉 137、138、139、445 等具有潛在隱患的網(wǎng)絡(luò)端口。在“網(wǎng)絡(luò)設(shè)置”面板中的“開始IP”和“結(jié)束IP”欄中分別輸入對應(yīng)的IP，點(diǎn)擊“添加”按鈕，就可以該地址范圍添加到禁用列表中，之后該范圍的IP將無法和本機(jī)通訊。

防殺一體 為系統(tǒng)筑起安全墻

圖4 網(wǎng)絡(luò)安全設(shè)置界面

同以上軟件相比，火絨安全軟件是一款功能強(qiáng)悍的安全工具，可以對系統(tǒng)的方方面面進(jìn)行防護(hù)，讓病毒木馬無隙可鉆，當(dāng)其運(yùn)行后，會(huì)隱藏在系統(tǒng)托盤中，對系統(tǒng)進(jìn)行全面監(jiān)控。無需進(jìn)行任何設(shè)置，該軟件就可以對系統(tǒng)的各個(gè)關(guān)鍵部分進(jìn)行保護(hù)。例如，可以對病毒進(jìn)行實(shí)時(shí)防御、對未知病毒進(jìn)行攔截、對下載文件和聊天內(nèi)容進(jìn)行監(jiān)控、防御優(yōu)盤病毒、對各種可疑動(dòng)作進(jìn)行攔截和防御等。在默認(rèn)情況下，無需用戶過多干預(yù)，該軟件就可以抗擊各種安全威脅，當(dāng)然，如果其發(fā)現(xiàn)有可疑文件試圖對系統(tǒng)進(jìn)行破壞，就會(huì)彈出警告窗口引起用戶的注意。

在系統(tǒng)托盤中雙擊火絨安全圖標(biāo)，在其主界面中點(diǎn)擊“實(shí)時(shí)防護(hù)”按鈕，可以在病毒防御、系統(tǒng)防護(hù)、網(wǎng)絡(luò)管理等面板中調(diào)整各個(gè)安全模塊的開啟或者關(guān)閉狀態(tài)。除了上面談到的保護(hù)項(xiàng)目外，還可以激活始針對瀏覽器主頁、ARP防護(hù)、通訊防護(hù)等模塊的保護(hù)功能。其實(shí)，火絨安全本身就是一款功能強(qiáng)悍的殺毒軟件，利用其內(nèi)置的小巧高效的殺毒引擎，可以對病毒執(zhí)行快速有效的清除操作。點(diǎn)擊“病毒查殺”按鈕，可以執(zhí)行全盤查殺、快速查殺、自定義查殺等清掃模式。同別的殺毒軟件相比，火絨安全具有掃描速度快等優(yōu)點(diǎn)。

點(diǎn)擊“網(wǎng)絡(luò)管理”按鈕，在打開窗口中可以對網(wǎng)絡(luò)活動(dòng)進(jìn)行全面監(jiān)控。在流量監(jiān)控界面中可以對處于活動(dòng)狀態(tài)的各種網(wǎng)絡(luò)程序進(jìn)行管理，設(shè)置其上傳或者下載的帶寬。在網(wǎng)絡(luò)連接界面中可以查看所有的網(wǎng)絡(luò)連接信息，不僅可以查看遠(yuǎn)程主機(jī)的地理位置信息，而且可以執(zhí)行關(guān)閉連接、定位文件、結(jié)束進(jìn)程等操作。在歷史流量界面中可以查看不同網(wǎng)絡(luò)程序使用的總流量信息，找出消耗帶寬的“大戶”，對其進(jìn)行合理限速。對于來歷不明的網(wǎng)絡(luò)程序，還可以為其配置安全規(guī)則，將其加入到阻止聯(lián)網(wǎng)程序列表中，切斷其連接通道。

在聯(lián)網(wǎng)控制界面中可以列出當(dāng)前所有的聯(lián)網(wǎng)程序。也可以點(diǎn)擊“添加規(guī)則”按鈕，選中其他程序，將其添加到控制列表中來。在“規(guī)則范圍外程序聯(lián)網(wǎng)時(shí)”列表中如果選擇“阻止聯(lián)網(wǎng)”項(xiàng)，則禁止控制列表之外的程序訪問網(wǎng)絡(luò)。選擇“詢問我”項(xiàng)，則可以由您決定是否允許列表之外的程序訪問網(wǎng)絡(luò)。在“控制方式”列表中可以針對不同的程序，將其加入信任程序或者阻止聯(lián)網(wǎng)列表。如果選擇“自定義”項(xiàng)，在彈出窗口可以靈活控制其聯(lián)網(wǎng)行為。點(diǎn)擊“添加端口”按鈕，在端口規(guī)則編輯窗口中選擇合適的協(xié)議（TCP或者UDP），端口（單個(gè)端口或者某個(gè)端口范圍）、動(dòng)作（外聯(lián)或者監(jiān)聽）以及操作類型（允許聯(lián)網(wǎng)，阻止聯(lián)網(wǎng)），點(diǎn)擊確定按鈕，可以為該程序配置合適的端口規(guī)則。同理，可以添加多個(gè)端口規(guī)則，對該程序的聯(lián)網(wǎng)行為進(jìn)行精確控制。

除了基本的防護(hù)功能外，火絨安全還自帶了一些實(shí)用的小工具。在其主界面中點(diǎn)擊“工具大全”按鈕，利用常用工具欄中提供的小工具，可以執(zhí)行清掃垃圾、管理右鍵菜單、修改Host文件等操作。在“高級(jí)工具”欄中提供了一些實(shí)用性很強(qiáng)的安全工具，例如點(diǎn)擊“火絨劍”項(xiàng)，啟動(dòng)系統(tǒng)安全高級(jí)分析工具，在其主界面中的“進(jìn)程”面板中顯示所有的活動(dòng)進(jìn)程信息，選中對應(yīng)的進(jìn)程，可以查看其模塊列表、句柄列表、內(nèi)存列表信息。在“系統(tǒng)”面板中點(diǎn)擊“開啟監(jiān)控”按鈕，在監(jiān)控范圍內(nèi)的程序活動(dòng)情況盡收眼底，包括執(zhí)行監(jiān)控、文件監(jiān)控、注冊表監(jiān)控、進(jìn)程監(jiān)控、網(wǎng)絡(luò)監(jiān)控、行為監(jiān)控等。

在“啟動(dòng)項(xiàng)”面板中列出了所有的啟動(dòng)項(xiàng)信息，可以讓隱藏其中的病毒木馬徹底現(xiàn)出原形。在窗口左側(cè)可以分門別類選擇啟動(dòng)項(xiàng)類型，所有的可疑項(xiàng)目全部以紅色進(jìn)行標(biāo)記。對于病毒木馬啟動(dòng)項(xiàng)，直接將其刪除或者禁用即可。在“服務(wù)”、“內(nèi)核”、“鉤子”、“驅(qū)動(dòng)”等面板中，可以讓您管理和查看所有的系統(tǒng)核心項(xiàng)目，對于標(biāo)記為紅色或者黃色的項(xiàng)目，表示其非常可疑需要小心提防。在“網(wǎng)絡(luò)”面板中顯示所有的網(wǎng)絡(luò)連接項(xiàng)目，對于沒有數(shù)字簽名的對象，要仔細(xì)對其進(jìn)行安全性檢測。如果病毒封鎖了注冊表編輯器，隱藏了相關(guān)文件，可以在“注冊表”或者“文件”面板中對注冊表進(jìn)行編輯，對文件進(jìn)行查看或者訪問。在“高級(jí)工具”欄中點(diǎn)擊“通訊防護(hù)”項(xiàng)，可以管理通信防護(hù)項(xiàng)目，可以對ICMP規(guī)則、端口規(guī)則、IP規(guī)則、IP黑名單等對象進(jìn)行修改、添加、激活等管控操作，這對于提高網(wǎng)絡(luò)安全意義非凡。

火絨安全的一大特點(diǎn)是具有主動(dòng)防御功能，可以對未知病毒的活動(dòng)進(jìn)行監(jiān)控。點(diǎn)擊“防護(hù)規(guī)則”項(xiàng)，在規(guī)則管理界面左側(cè)點(diǎn)擊“系統(tǒng)防護(hù)項(xiàng)目”項(xiàng)，在右側(cè)可以管控針對文件系統(tǒng)保護(hù)，不同的模塊其中包含了數(shù)量不等的規(guī)則項(xiàng)目，在默認(rèn)情況下，火絨安全已經(jīng)開啟了一些最關(guān)鍵的保護(hù)項(xiàng)目，有些次要一些的安全項(xiàng)目并未開啟，您可以根據(jù)需要來激活所需的項(xiàng)目，例如，針對越來越多的病毒采用驅(qū)動(dòng)文件的行為進(jìn)行加載的情況，可以在“敏感動(dòng)作攔截”欄中選擇“驅(qū)動(dòng)加載”項(xiàng)，讓這些高級(jí)病毒無法隱藏自己的蹤跡。當(dāng)然，您也可以自定義規(guī)則，進(jìn)一步提高防御能力。在窗口左側(cè)點(diǎn)擊“自定義防護(hù)項(xiàng)目”項(xiàng)，在右側(cè)窗口點(diǎn)擊“添加規(guī)則”項(xiàng)，輸入規(guī)則名稱，選擇規(guī)則類型（包括文件保護(hù)和注冊表保護(hù)），添加所需的規(guī)則。對于文件保護(hù)規(guī)則來說，可以為選定的文件配置保護(hù)動(dòng)作，包括創(chuàng)建、讀取、寫入、刪除、執(zhí)行等。對于注冊表保護(hù)動(dòng)作來說，可以對選中的注冊表路徑配置保護(hù)動(dòng)作、。對于受到保護(hù)的項(xiàng)目來說，對其訪問必須安裝規(guī)則進(jìn)行。例如，對與注冊表中的某個(gè)啟動(dòng)項(xiàng)來說，如果為其設(shè)置禁止創(chuàng)建、刪除、寫入等規(guī)則，那么別的程序就無法對其執(zhí)行修改動(dòng)作了。當(dāng)然，您也可以使用現(xiàn)成的安全規(guī)則。點(diǎn)擊“導(dǎo)入”按鈕，選擇后綴為“.json”的規(guī)則文件，就可以將其中的規(guī)則項(xiàng)目全部添加進(jìn)來。打開網(wǎng)址“http://bbs.huorong.cn/forum-45-1.html”，可以在線搜索所需的規(guī)則文件。